发布日期：2010-03-10
更新日期：2010-03-18

受影响系统：

Friendly Technologies Remote Management 2.8.9

描述：

---

BUGTRAQ  ID: 38634

Friendly TR-069解决方案用于综合管理支持TR-069标准的CPE，其中的Management Platform组件用于执行管理ACS操作、CPE、添加新的CPE类型等任务。

Management Platform组件没有正确的过滤用户在登录时所提交的登录表单，远程用户可以在登录页面提交恶意用户名和密码执行SQL注入攻击，获得对组件的管理访问。

<*来源：Yaniv Miron
  
  链接：http://secunia.com/advisories/38861/
        http://marc.info/?l=bugtraq&m=126826199830439&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Username: ' or 1=1--
Password:  ' or 1=1--

建议：

---

厂商补丁：

Friendly Technologies
---------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.friendly-tech.com/default.asp

浏览次数：2623
严重程度：0（网友投票）